Microsoft: Not-Patch schließt kritische Lücke im Internet Explorer 7

Nach einigen Nachtschichten hat Microsoft jetzt einen Patch für die jüngst im Internet Explorer 7 gefundene Sicherheitslücke fertiggestellt. Die Schwachstelle erlaubt es Hackern, Rechner beim Besuch speziell modifizierter Web-Seiten zu infizieren und die Kontrolle über die Systeme zu übernehmen.

In den vergangenen Tagen habe Anti-Viren Anbieter vor einer extrem kritischen Lücke im Internet Explorer 7 (IE7) von Microsoft gewarnt (siehe unseren Bericht). Die Schwachstelle erlaubt Drive-by-Pharming-Angriffe: Internet-Nutzer werden zum Besuch von Web-Seiten animiert, auf denen der Angreifer Malware versteckt hat.

Jetzt hat Microsoft reagiert und in mehreren Nachtschichten einen Patch als Sofortmaßnahme gegen das Problem entwickelt. Dieser installiert sich nach Angaben des Unternehmens automatisch beim Start des IE7, kann aber auch manuell heruntergeladen und aufgespielt werden.

Bekannt wurde die Lücke nach Microsoft »Patch-Day« am vergangenen Dienstag durch einen chinesischen IT-Sicherheits-Anbieter. Dieser war davon ausgegangen war, dass Microsoft bereits einen »Software-Flicken« für die Lücke parat habe.

Zuerst hatte man sich bei Microsoft noch zurückhaltend gezeigt, was einen Patch außerhalb der normalen Intervalle (monatlicher Patch-Dienstag) angeht. »Wir sind mit außerplanmäßigen Updates sehr vorsichtig«, so Microsoft-Sicherheitssprecher Gerhard Göschl.

Solche Patches könnten insbesondere bei Unternehmen zu größeren Problemen führen und würden deshalb möglichst vermieden, wenn es die Sicherheitslage zulasse. Nach Prüfung des Problems und weil bereits Attacken unter Ausnutzung der Schwachstelle stattfanden, rückte Microsoft nun von der Standardprozedur ab.